Dropboxが2012年以前のパスワードをリセット

Dropboxがメールでサービスの全ユーザーに対して、2012年以前に設定されたパスワードをそのまま利用しているユーザーのパスワードをリセットする旨の連絡を行いました。

これは文字どおり2012年以前からのユーザーにしか適合しないことで、それより後に利用を開始したユーザーには関係がありません。

Webサービスは常に攻撃者からの攻撃にさらされており、様々な防護策をとってはいますが、常に新しい脆弱性情報を隠し持つ攻撃者からの不正アクセスをストップすることは大変難しいことです。

今回Dropboxのセキュリティチームは自社の登録ユーザーの一部のメールアドレスと、ハッシュ化されたパスワードのデータがWeb上に存在することを発見したとのことです。

ハッシュ化されたパスワードというものは、パスワードそのものではなく、パスワードの文字列から一定の法則で導き出されるユニークな数値です。

ハッシュ化されたパスワードは加工はされていますが、一文字でも違えば全く違うユニークな数になるようになっており、またハッシュから元のパスワードへの再変換はほぼ不可能です。

これら情報が何らかの方法で外部に漏洩したことが発覚したため、2012年以前のパスワードの強制変更になったと発表されています。

その他、他のWebサービスからの漏洩のユーザー名とパスワードを利用して、他のWebサービスについて総当りでログインを試みるといった攻撃も絶え間なく続いています。

国際的なWebサービスはこのような事態から、ログインに用いられたIPアドレスなどから危険性を察知し、仮にログインに成功しても失敗したと応答する対策もあるようです。

IPアドレスは国別に割り振られており、ログイン試行された地域というものはおおよそわかるようになっています。かけ離れた地域からのログイン試行は遮断、あるいは本人であることを確認する仕組みが作られています。

ユーザーとしてできる最良の防護策はパスワードの使い回しを避けるということです。

たとえ複雑であったとしても、一度テキストのデータとして流出してしまえばパスワード攻撃の辞書に登録されて、他のサービスのログイン試行に用いられてしまいます。

定期的なパスワード変更というものは、ほとんどの場合においてオーバーで、またパスワード忘れを多発させることに伴う幾つかの潜在的なリスクもあります。

パスワードの使い回しを避け、またサービス運営企業からの告知についても注意を払うことがユーザーにとって今の所最善の対策と言えそうです。